作者prussian (prussian)
看板MobilePay
標題Re: [新聞] 日本7-11行動支付App「7pay」900人遭盜
時間Sat Jul 6 00:28:33 2019
※ 引述《a90575 (CY)》之銘言:
: 推 go1717: 這900人被盜 是不是都沒有用獨立的帳號密碼來登入? 07/06 00:17
: → go1717: 之前很多人openpoint點數被盜 我很早就使用獨立帳密 一樣 07/06 00:20
: → go1717: 沒有被盜 07/06 00:20
: 推 go1717: 在你不知道對方帳號的何況下 獨立帳密的帳號 本身就是另外 07/06 00:23
: → go1717: 一道密碼 07/06 00:23
https://www.ithome.com.tw/news/131677
日本7-Eleven手機支付新app被駭,近900名用戶損失5500萬日幣
文/林妍溱 | 2019-07-05發表
在爆發多名用戶帳號遭駭導致銀行帳號被盜刷事件後,7-Eleven已經
緊急暫停7pay的會員申請機制,以及信用卡和現金卡支付功能。
日本7-Eleven本月才剛推出的支付app 7pay傳駭客駭入漏洞,將近
900名消費者帳號被盜導致銀行帳號盜刷,損失高達5500萬日幣(約
1600萬台幣)。
這項服務本周一(7月1日)才在日本推出。7pay app可以手機顯示條
碼,讓消費者在櫃台付款時由店員以讀卡機讀取,消費金額則從信用
卡或現金卡帳戶扣款,或是使用nanaco點數或折價卷支付。消費者的
銀行帳戶等個資皆存在7iD帳號中。
本周三有多名日本消費者透過推特表示自己的7 pay密碼遭人竄改後
信用卡遭人盜刷。另一名用戶則表示被盜刷金額達6萬日幣。
7-Eleven已經緊急暫停7pay的會員申請機制,以及信用卡和現金卡支
付功能。日本CNET報導,截至7月4日早上6:00止,已有約900人受害
,損失金額約為5500萬日幣。
問題出在7pay app設計極不嚴謹的密碼重設功能上。消費者需要重設
密碼時,只要輸入生日、手機號碼及
任一電子郵件信箱,系統即會將
重設郵件寄到該信箱內,並未進行電子郵件信箱的驗證。網路上稍微
搜尋一下,即可蒐集到特定用戶的生日及手機號碼。駭客只要輸入自
己的信箱就能攔截該信件,而代用戶重設密碼,進而存取帳號中的個
資。
更離譜的是,日本Yahoo報導,如果消費者登錄帳號時未輸入生日,
則
系統會預設其生日為2019年1月1日,使駭客更容易得逞。
日本產經新聞報導,日本警方已經在7月4日逮捕2名20多歲的中國籍
嫌犯,當時他們正在新宿一家7-Eleven中,以7pay購買價值20萬日圓
的電子煙引發懷疑。警方正在調查他們是否涉入本案。
廢到笑...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.8.250 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobilePay/M.1562344116.A.408.html
1F:→ JuiFu617: 超爛的安全機制 07/06 00:34
2F:推 go1717: 看來要強上雙重驗證2FA了XD 07/06 00:34
3F:推 Allen145615: 這不用駭客,正常人都可以破解吧XDDDD 07/06 02:59
4F:噓 kakukangen: 低能系統 07/06 03:51
5F:→ kakukangen: 那個人審的= = 07/06 03:51
6F:推 tonyian: 這是歡迎來我家作客的概念 07/06 11:00